Системи бездротового комп’ютерного зв’язку 802.1х
Характеристики сімейства
Різних специфікацій стандартів бездротових мереж сімейства 802.1х існує досить багато. Всі вони поділяються на чотири великі категорії: WPAN, WLAN, WMAN, WWAN.
WLAN – ця категорія бездротової мережі призначена для зв”язку між собою різних пристроїв, подібно LAN на основі витої пари чи оптоволокна і при цьому характеризується високою швидкістю передачі даних на відносно невеликі відстані. Взаємодія пристроїв описується сімейством стандартів ІЕЕЕ 802.11, що включає в себе 20 специфікацій.
У зв”язку з цим, у багатьох складається враження, що ІЕЕЕ 802.11 і Wi-Fi одне й те ж. На даний час, під Wi-Fi розуміється торгова марка, яка показує, що конкретний пристрій відповідає специфікаціям 802.11а, 802.11b, 802.11g.
Таким чином, сімейство ІЕЕЕ 802.11 можна розділити на три класи: 802.11а, 802.11b, 802.11 і/е/.../w.
IEEE 802.11a один зі стандартів бездротових локальних мереж, що описує принципи функціонування пристроїв в частотному діапазоні ISM ( смуга частот 5, 125, 825 ГГц ) по принципу OFDM ( мультиплексування з розподілом по ортогональним частотам ). Смуга поділяється на три робочі зони шириною 100 МГц і для кожної зони визначена максимальна потужність випромінення 50 мВт, 250 мВт, 1 Вт. Планується, що остання зона частот буде використатись для організації каналів зв”язку між будівлями чи зовнішніми об”єктами, а дві інші зони – всередині них. Редакцією стандарту, затвердженою в 1999 році, визначені три обов”язкові швидкості 6, 12 і 24 Мб/с і п”ять необов”язкових 9, 18, 36, 48 і 54 Мб/с. Однак цей стандарт не прийняли в Росії внаслідок використання частини цього діапазону відомчими структурами. Можливим вирішенням цієї проблеми може стати специфікація 802.11h, яка доповнена алгоритмами ефективного вибору частот лдя бездротових мереж, а також засобами управління використанням спектру, контролю над потужністю випромінювання, а також генерації відповідних відліків. Радіус дії пристроїв у закритих приміщеннях складає близько 12 метрів на швидкості 54 Мб/с і до 90 метрів при швидкості 6Мб/с, у відкритих приміщеннях чи в зоні прямої видимості близько 30 метрів ( 54 Мб/с ) і до 300 метрів при 6 Мб/с. Крім того, деякі виробники впроваджують свої пристрої технології прискорення, завдяки яким можливий обмін даними в Turbo 802.11a на швидкостях до 108Мб/с.
До переваг даного стандарту належить якість сигналу і підвищена пропускна здатність каналу, оскільки OFDMдозволяє паралельну передачу корисного сигналу одночасно по кільком частотам діапазону, в той час як технології розширення спектру передають сигнали послідовно.
До недоліків 802.11а відносяться більш висока потужність живлення радіопередавачів для частот 5 ГГц, а також менший радіус дії.
Підводячи короткий підсумок слід відмітити, що дана версія є так би мовити “боковою віхою” основного стандарту 802.11. Для збільшення пропускної здатності каналу тут використовується діапазон частот передачі 5,5 ГГц. Для передачі у 802.11а використовується метод множини несучих, коли діапазон частот розбивається на підканали з різними несучими частотами ( OFDM ), по яким потік передається паралельно, розбитий на частини. Використання методу квадратурної фазної модуляції дозволяє досягти пропускної здатності каналу 54 Мбіт/сек.
ІЕЕЕ 802.11b перший стандарт, що отримав широке поширення і дозволив створити бездротові локальні мережі в офісах, домах, квартирах. Ця специфікація описує принципи взаємодії пристроїв у діапазоні 2,4 ГГц ( 2, 42, 4835 ГГц ), розділеному на три канали, що не перекриваються по технології DSSS ( широкосмугова модуляція з прямим розширенням спектру ) і використовує РВСС ( двійкове згорткове кодування ). Згідно цієї технології модуляції, здійснюється генерування збиткового набору біт на кожен переданий біт корисної інформації, завдяки цьому здійснюється більш висока імовірність відновлення переданої інформації і краща завадостійкість ( шуми і завади ідентифікуються як сигнал з неоднаковим набором біт і тому відфільтровуються ). Стандарт не чіпає канальний рівень і вносить зміни в ІЕЕЕ 802.11 лише на фізичному рівні. Стандартом визначені чотири обов”язкові швидкості 1, 2, 5,5 і 11 Мб/с. Стосовно можливого радіуса взаємодії пристроїв, то він складає у закритих приміщеннях близько 30 метрів на швидкості 11 Мб/с і до 90 метрів при швидкості 1 Мб/с, у відкритих приміщеннях чи в зоні прямої видимості близько 120 метрів ( 11 Мб/с ) і до 460 метрів при 1 Мб/с. Оскільки обладнання, що працює на максимальній швидкості 11Мб/с має менший радіус дії, ніж на більш низьких швидкостях, то стандартом передбачено автоматичне пониження швидкості при погіршенні якості сигналу.
В умовах постійного зростання потоків даних ця специфікація практично вичерпала себе і на зміну їй прийшов стандарт ІЕЕЕ 802.11g.
ІЕЕЕ 802.11d – для розширення географії розповсюдження мереж стандарту 802.11, ІЕЕЕ розробляє універсальні вимоги до фізичного рівня 802.11 ( процедури формування каналів, псевдо випадкові послідовності частот, додаткові параметри тощо ). Відповідний стандарт 802.11d поки що знаходиться у стадії розробки.
Стандарт визначає вимоги до до фізичних параметрів каналів ( потужність випромінювання і діапазони частот ) і пристроїв бездротових мереж з метою забезпечення їх відповідності законодавчим нормам різних країн.
802.11е – специфікація цього стандарту дозволяє створювати мультисервісні бездротові лінії зв”язку ( ЛЗ ), орієнтовані на різні категорії користувачів як корпоративних, так і індивідуальних. При збереженні повної сумісності з уже прийнятими стандартами 802.11а і b, він дозволить розширити їх функціональність за рахунок підтримки потокових мультимедіа – даних і гарантованої якості послуг ( QoS ).
Створення даного стандарту пов”язане з використанням засобів мультимедіа. Він визначає механізм призначення пріоритетів різним видам трафіку, таким як аудіо- і відео доповнення.
Специфікації 802.11fописують протокол обміну службовою інформацією між точками доступу ( Inter-AccessPointProtocol – IAPP ), що необхідно для побудови розподілених бездротових мереж передачі даних. Для затвердження цих специфікацій в якості стандарту поки – що не визначена.
Даний стандарт, пов”язаний з аутентифікацією, визначає механізм взаємодії точок зв”язку між собою при переміщенні клієнта між сегментами мережі. Інша назва стандарту - Inter-AccessPointProtocol.
ІЕЕЕ 802.11g – стандарт бездротової мережі, який є логічним розвитком 802.11b, в тому сенсі, що використовує той же частотний діапазон і припускає зворотню сумісність з пристроями, що відповідають стандарту 802.11b. Одночасно з цим, цей представник сімейства специфікацій, як і має бути, намагався взяти все краще від піонерів 802.11b і 802.11а. Так основний принцип модуляції взятий у 802.11а OFDM сумісно з технологією ССК ( кодування комплементарним кодом ), а додатково передбачено використання технології РВСС. Завдяки цьому в стандарті передбачено шість обов”язкових швидкостей 1, 2, 5,5, 6, 11, 12, 24 Мб/с і чотири додаткових 33, 36, 48 і 54 Мб/с. Радіус зони дії збільшено в закритих приміщеннях до 30 метрів ( 54 Мб/с ) і до 91 метра при швидкості 1 Мб/с, а при віддаленні на 460 метрів можлива робота зі швидкістю 1 Мб/с.
802.11h – визначає правила вибору частотних каналів у 5 ГГц діапазоні в Європі.
802.11і – специфікує функції забезпечення інформаційної безпеки бездротових ЛЗ, покращуючи їх захищеність у порівнянні з застосуванням базового захисного протоколу WEP ( WAP 1.0 ), описаного в стандарті 802.11 ( стандарт 802.11і прийнято в липні 2004 року).
802.11k– визначає методи вимірювання характеристик радіочастотного випромінення (корисного сигналу і завади).
802.11n– описує бездротову мережу по виробітку в порівнянні з проводовою мережеюEthernet 100Base – T.
Порівняльна характеристика основних стандартів наведена у таблиці 1
Таблиця 1 Порівняльна характеристика основних стандартів
Стандарт | 802.11a | 802.11b | 802.11g | 802.11i | 802.11n |
Частота (GHz) | 5.150-5.350 5.470-5.850 |
2.400-2.483 | 2.400-2.483 | 2.400-2.483 | 2.400-2.483 |
Дальність (м) | 10-100 | 30-300 | 30-300 | 30-300 | 50-400 |
Швидкість ( Мбит/с) |
54 | 11 | 54 | 108 | 540 |
Технології шифрувания | WEP | WEP | WEP WPA WPA2 | WEP WPA W
PA2 AES |
WEP WPA WPA2 AES |
802.11v –специфікує протокол управління бездротових ЛЗ ( БЛЗ ).
Необхідність у розробці стандарту 802.11v обумовлена труднощами, які виникають при спробах управляти БЛЗ по протоколу SNMP. Справа у тому, що на ринку представлено досить мало пристроїв Wi-Fiз підтримкою цього протоколу. Крім того, для використання захищеного протоколу SNMP необхідно виконати непросту процедуру конфігурації цього пристрою, а також нерідко необхідно управляти їм до встановлення ІР – зв”язку з ним.
2. Характеристики системи безпеки у 802.11
З самого початку у сімействі протоколів був передбачений комплекс мір безпеки, об”єднаний загальною назвою WEP (безпека, еквівалентна проводовій мережі ). Незважаючи на те, що WEP підтримується більшістю обладнання 802.11, виявилось, що він має найнижчий рівень захисту. Причина уразливості WEP заключається у використанні статичних ключів шифрування, відомих усим станціям, а також у тому, що не передбачений процес перевірки справжності користувача. Для оновлення ключів необхідно внести відповідні зміни на кожному компьютері, а якщо залишити криптографічні ключі незмінними, то зламати мережу достатньо просто. На деяких сайтах для ілюстрації уразливості WEP навіть приводяться покрокові інструкції для злому.
Враховуючи вразливість WEP, була розроблена нова технологія захисту WPА. Ця технологія врахувала недоліки WEP і згідно специфікації включає в себе протокол ТКІР, який працює в зв”язкі з механізмами 802.1х. Підвищення рівня безпеки забезпечується періодичним генеруванням унікального ключа для кожного користувача. Тим не менше, стандарт WEP, як зазначалось раніше, схильний атакам типу DoS. Для цього достатньо, щоб на сервер доступу кожну секунду приходило кілька невірних запитів на ідентифікацію, при цьому сервер визначає спробу несанкціонованого доступу і здійснює розрив усіх з”єднань на деякий час ( близько хвилини ).
Таким чином, постійна відправка невірних даних може призвести до нестабільної роботи.
Наступний розроблений стандарт WPА2. Його відмінність від WPА заключається у більш стійкому до зламу алгоритмі шифрування AES (AdvancedEncryptionStandard ) і модифікованому алгоритмі управління ключами.
Рис.1 Структура стандарту WPA2
WPANбездротова мережа, призначена для організації бездротового зв”язку між різнотипними пристроями на обмеженій площі ( наприклад, в рамках квартири, офісного робочого місця ). Стандарти, які визначають методи функціонування мережі, описані в сімействі специфікацій ІЕЕЕ 802.15. Один з них, наприклад, Bluetooth ( ІЕЕЕ 802.15.1 ). Пропоную розглянути два найбільш перспективних стандарти ZigBee і 802.15.3.
ІЕЕЕ 802.15.3 розроблявся як високошвидкісний стандарт WPAN-мереж для високотехнологічних побутових пристроїв ( призначених як правило для передачі мультимедійних даних ). Використання смуги 2,4 ГГц і технології модуляції OQPSH (OffsetQadraturePhaseShiftKeying, квадратурна маніпуляція з фазовим зсувом ) дозволяє досягти швидкості передачі у 255 Мб/с на відстань до 100 метрів. Захист даних може здійснюватись по стандарту AES. В модифікації стандарта 802.15.3а планується збільшити пропускну здатність до 480 Мб/с, а в специфікації 802.15.3b пропускна здатність складатиме від 100 до 400 Мб/с.
Стандарт ZigBee, затверджений у кінці минулого року, розроблявся більше двох років і за цей час змінив кілька назв, серед яких HomeRF, RF-EasyLinkiFirefly. Зроблю уточнення. В ряді джерел специфікації 802.15.4 і ZigBee ототожнюються, але насправді, консорціум компаній ZigBee Alliance розширив і вніс ряд змін до стандарту 802.15.4, що описує фізичний рівень зв”язку і основні способи взаємодії між пристроями. У випадку з ZigBee передбачується опис додаткових вимог для відкритості і сумісності пристроїв. Слід відмітити, що до сих пір не має загальнодоступної специфікації стандарту ZigBee, навідміну від широкодоступних характеристик 802.15.4.
До ключових моментів, по словам розробників, слід віднести більш низьке енергоживлення, можливість використання 64-бітної адресації ( до 65 тис. вузлів у мережі ), меншу вартість аналогічних пристроїв. Так, ZigBee-пристрої можуть працювати близько трьох років без заміни елементу живлення, в той час як Bluetooth близько неділі, а автономні Wi-Fi не більше п”яти діб. З офіційних заяв, відстань між взаємодіючими пристроями може досягати 75 метрів при швидкості передачі до 250 Кб/с, однак враховуючи еволюцію в дальності діїї Bluetooth ( з 10 до 100 метрів ), це не здається границею.
В залежності від рівня складності ZigBee-пристрої можуть виступати як координатори, управляючи роботою комплексної мережі, так і прийомопередавачами даних ( не тільки своїх, але і чужих ), чи в простішому випадку, обмінюватись інформацією тільки з координатором. Слід відмітити, що в стандарті передбачається використання 128-бітного AES-шифрування даних.
До основних сфер застосування слід віднести обслуговування різноманітних датчиків, взаємодія охоронних, пожежних і інших сигналізацій з відповідними службами, в майбутньому створення розумного будинку. Без сумніву, реалізація таких можливостей проводиться і без допомоги ZigBee, але ZigBee забезпечує повну незалежність від виробника, а необхідність у встановленні перетворюючого інтерфейсу відпадає сама собою.
ІЕЕЕ 802.15.4а/b стандарт так званої технології UWB, яка основана на передачі множини закодованих імпульсів негармонічної форми невеликої потужності ( 0,05 мВт ) і малої протяжності в широкому діапазоні частот ( від 3,1 до 10,6 ГГц ). Передача даних на відстанях до 5 метрів здійснюється зі швидкістю від 400 до 500 Мб/с.
Таблиця 1 Порівняльна характеристика бездротових технологій
3. Удосконналений механізм управління ключами
Алгоритми аутентифікації стандартів 802.11 і ЕАР можуть забезпечити сервер RADIUS і клієнта динамічними, орієнтованими на користувача ключами. Але той ключ, який створюється в процесі аутентифікації, не є ключем, що використовується для шифрування фреймів чи перевірки цілісності повідомлень. В стандарті 802.11і WPA для отримання усіх ключів використовується так званий майстер – ключ (парний майстер – ключ - РТК) і парний перехідний ключ (РТК), що генерується клієнтом у процесі аутентифікації, являються одно адресатними по своїй природі. Вони тільки шифрують і дешифрують одно адресатні фрейми і призначені для єдиного користувача. Широкомовні фрейми потребують окремої ієрархії ключів тому, що використання з цією метою одно - адресних ключів призведе до різкого зростання трафіка мережі. Точці доступу (єдиному об’єкту, що має право на розсилку широкомовних чи багато адресних повідомлень) довелося б відправляти один і той же широкомовний чи багатоадресний фрейм, зашифрований відповідними пофреймованими ключами, кожному користувачу.
Широкомовні чи багато адресні фрейми використовують ієрархію групових ключів. Груповий майстер – ключ (GMK) знаходиться на вершині цієї ієрархії і виводиться у точці доступу. Вивід GMK оснований на застосуванні PRF, в результаті чого утворюється 256-розрядний GMK. Вхідними даними для PRF-256 є шифрувальне секретне випадкове число (чи nonce), рядок тексту, МАС – адреса точки доступу і значення часу в форматі синхронізуючого мережевого протокола (NTP). На рисунку 2 представлена ієрархія групових ключів.
Рис.2 Ієрархія групових ключів
Груповий майстер – ключ, рядок тексту, МАС – адреса точки доступу і Gnonce (значення, яке береться із лічильника ключа точки доступу) об’єднуються і обробляються з допомогою PRF, в результаті отримуємо 256 – розрядний груповий перехідний ключ (GTK). GTKділиться на 128 – розрядний ключ шифрування широкомовних/багатоадресних фреймів, 64 – розрядний ключ передачі МІС і 64 – розрядний ключ прийому МІС. З допомогою цих ключів широкомовні і багато адресні фрейми шифруються і дешифруються точно так же, як з допомогою одно адресних ключів, отриманих на основі парного майстер – ключа (РМК).
Клієнт обновляється з допомогою групових ключів шифрування через повідомлення ЕАРоL-Key. Точка доступу посилає такому клієнту повідомлення ЕАРоL, зашифроване з допомогою одноадресного ключа шифрування. Групові ключі знищуються і регенеруються кожен раз, коли яка – небудь станція дисоціюється чи дезаутентифікується в BSS. Якщо утворюється помилка МІС, однією з мір протидії також є видалення всих ключів, що зв’язані з помилкою у приймальної станції, включаючи групові ключі.
Таким чином, алгоритми аутентифікації, визначені у стандарті 802.11 розробки 1997 року мають багато недоліків. Система аутентифікації можуть бути зламані за короткий час. Протокол ТКІР обіцяє ліквідувати недоліки попередніх розробок і систем аутентифікації в недалекій перспективі, а стандарт 802.1х і AES надають довгострокове вирішення проблеми безпеки бездротових мереж.